«Такое недопустимо в 2018 году». В популярном роботе от Softbank нашли россыпь уязвимостей

Оставить комментарий
«Такое недопустимо в 2018 году». В популярном роботе от Softbank нашли россыпь уязвимостей

Исследователи безопасности нашли целый ряд грубых нарушений безопасности в антропоморфном роботе Pepper, который продают в Японии с 2016 года, пишет The Register.

Читать далее

Фото: Robohub

Робот позволяет сторонним пользователям получать доступ администраторского уровня, использует в работе подверженный уязвимостям Meltdown и Spectre процессор, имеет пароль администратора по умолчанию. Кроме этого, к нему можно получить доступ через незашифрованный http.

Изучив Pepper, шведские исследователи пришли к выводу, что «удалённо превратить его в кибер- и физическое оружие не составит труда».

Уточняя уязвимости, они отметили, что пароль «по умолчанию» нельзя изменить — более того, он прописан в инструкции. Это позволяет удалённо получить привилегии администратора, обойдя простую защиту. А в панели администратора отсутствует возможность выйти из системы.

«Мы твёрдо уверены, что недопустимо в 2018 году продавать продукты, допускающие такого типа атаки», — отметили исследователи.

Ещё одна из проблем робота — подверженность атакам на подбор пароля (брутфорс-атакам): система не ограничивает количество запросов. А при загрузке файлов конфигурации для «хореографии робота» ПО не проверяет расширения файлов, что позволяет загружать, к примеру, изображения и текстовые файлы.

Наконец, API робота принимает любые запросы, если они выполнены по правилам — независимо от того, кто является отправителем. Благодаря этому хакеры могут получить доступ к микрофонам и камерам устройства.

Читайте также: Boston Dynamics начнёт продажи робособак в 2019 году

Читайте также

 EY в Минске создал одну из крупнейших команд в СНГ по роботизации бизнес-процессов
EY в Минске создал одну из крупнейших команд в СНГ по роботизации бизнес-процессов

EY в Минске создал одну из крупнейших команд в СНГ по роботизации бизнес-процессов

ESET нашёл крупную уязвимость, которая затрагивает более миллиарда устройств с WiFi
ESET нашёл крупную уязвимость, которая затрагивает более миллиарда устройств с WiFi

ESET нашёл крупную уязвимость, которая затрагивает более миллиарда устройств с WiFi

10 крупнейших технологических слияний и поглощений десятилетия в ИТ
10 крупнейших технологических слияний и поглощений десятилетия в ИТ

10 крупнейших технологических слияний и поглощений десятилетия в ИТ

LinkedIn опубликовал список самых перспективных профессий
LinkedIn опубликовал список самых перспективных профессий

LinkedIn опубликовал список самых перспективных профессий

Обсуждение

Комментариев пока нет.